IBM og Datatilsynet uenige om mainframe-sikkerhed
Fysiske servere og logiske partitioner er ikke det samme, når det gælder om at holde it-systemer adskilt. Det er et af kritikpunkterne i Datatilsynets afgørelse i en undersøgelse af sikkerheden omkring Rigspolitiets it-systemer i forbindelse med hackerangrebet i 2012.
»Opdeling af én mainframe i fire LPAR'er kan sikkerhedsmæssigt ikke sidestilles med drift i fire fra hinanden fysisk isolerede/adskilte mainframes,« lyder ét af de centrale kritikpunkter fra Datatilsynet i afgørelsen
Mainframes arbejder med logiske partitioner kaldet LPAR, som fungerer stort set som en hypervisor fra virtuelle maskiner på andre platforme. Det vil sige, at der på den samme hardware kan afvikles et antal virtuelle maskiner, som deler hardwareressourcer, men ikke kan se hinanden og holdes adskilt.
Et af IBM's argumenter for at vælge mainframen frem for virtualisering på eksempelvis x86-servere er imidlertid, at mainframe-arkitekturen sikrer en adskillelse mellem de enkelte LPAR, der svarer til, at det var fysisk adskilte maskiner.
»Z Systems LPAR-separation er certificeret til EAL5+-niveau, hvilket betyder, at systemet kan konfigureres og drives, så det er at sidestille med fysisk separate maskiner,« siger Christopher Fabritius fra IBM Danmarks Systems Group til Version2.
Certificeringen indebærer helt overordnet, at en applikation på én LPAR ikke kan tilgå data, der tilhører en anden LPAR.
»IBM er uenig med Datatilsynets formulering om, at LPAR sikkerhedsmæssigt ikke kan sidestilles med fysiske separate maskiner,« siger Christopher Fabritius.
Nøgleordene er imidlertid 'kan konfigureres', for det vil i praksis afhænge af, hvordan mainframen er sat op. Det gælder dog også for fysisk adskilte servere i samme datacenter.
Hos Datatilsynet holder man fast i formuleringen i forhold til sagen om Rigspolitiets systemer:
'Fysisk adskillelse og logisk adskillelse er jo ikke det samme - og om det kan sidestilles, må vurderes konkret. Den konkrete sag viser, hvor galt det kan gå,' skriver kontorchef Lena Andersen fra Datatilsynet i et e-mailsvar til Version2.
I sagen om hackingen af Rigspolitiets systemer var det et sikkerhedshul i en webserver, der tilhørte Moderniseringsstyrelsen, som kørte på den samme LPAR, der gav hackerne den første adgang til CSC's mainframe.
Da både webserveren og flere af Rigspolitiets systemer kørte på den samme LPAR og brugte den samme RACF-adgangskontrol til autentificering af brugere og styring af rettigheder, var det muligt at udvide angrebet fra Moderniseringsstyrelsen til Rigspolitiet.
Datatilsynets kritik går imidlertid ikke kun på, at Moderniseringsstyrelsen og Rigspolitiet delte en LPAR, men derimod på, at der på samme mainframes var forskellige LPAR med både systemer som Schengen-informationssystemet og kørekortregistret samt websteder, der var tilgængelige fra internettet.
Rigspolitiets systemer burde ifølge Datatilsynets kritik have kørt på fysisk adskilte maskiner og ikke blot forskellige logiske partitioner eller virtuelle maskiner.
Ifølge Datatilsynets svar vil det dog komme an på en konkret vurdering fra sag til sag, hvorvidt der er tilstrækkelig sikkerhed, hvis man afvikler sine systemer på samme fysiske server, men på forskellige virtuelle maskiner.
Tilsvarende vil det komme an på den konkrete konfiguration, hvorvidt sikkerheden mellem både fysisk og virtuelt adskilte servere er tiltrækkelig.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
